Техническая информация
Вредоносные функции:
Загружает на исполнение код следующих детектируемых угроз:
- Adware.Dowgin.14.origin
Осуществляет доступ к приватному интерфейсу телефонии (ITelephony).
Сетевая активность:
Подключается к:
- UDP(DNS) <Google DNS>
- TCP(HTTP/1.1) d2.ireader####.com:80
- TCP(HTTP/1.1) t####.qin####.com:80
- TCP(HTTP/1.1) d1.ireader####.com:80
- TCP(HTTP/1.1) a####.you####.com:80
- TCP(TLS/1.0) www.ireader####.com:443
Запросы DNS:
- a####.you####.com
- d1.ireader####.com
- d2.ireader####.com
- fb.u####.com
- t####.qin####.com
- www.ireader####.com
Запросы HTTP GET:
- a####.you####.com/sx/GetConfigInfo.aspx?ver=####&passID=####&ver=####&cl...
- d1.ireader####.com/GoodBooks/Books/cover/2015-01-13/3e645323-520d-42f1-9...
- d1.ireader####.com/GoodBooks/Books/cover/2015-01-14/835773ac-ec39-474e-9...
- d1.ireader####.com/GoodBooks/Books/cover/2015-03-23/2f14352a-6aa3-491b-a...
- d1.ireader####.com/GoodBooks/Books/cover/2015-03-24/d865e06a-7f83-41ac-b...
- d1.ireader####.com/GoodBooks/Books/cover/2015-03-30/6369fc8d-b933-4435-a...
- d1.ireader####.com/GoodBooks/Books/cover/2015-06-18/1555a461-a9e0-4c95-b...
- d1.ireader####.com/GoodBooks/Books/cover/2015-06-18/923f1e3d-961b-4c41-b...
- d1.ireader####.com/GoodBooks/Books/cover/2015-07-28/36ba05af-7865-4266-9...
- d1.ireader####.com/GoodBooks/Books/cover/2015-10-12/0cfefbf8-8ab9-48c6-8...
- d1.ireader####.com/GoodBooks/Books/cover/2015-10-12/b2958f52-0e73-4daf-a...
- d1.ireader####.com/GoodBooks/Books/cover/2016-04-10/e595ad98-34fd-4111-a...
- d1.ireader####.com/GoodBooks/Books/cover/2016-06-03/d82b82f5-9ef1-427d-9...
- d1.ireader####.com/GoodBooks/Books/cover/2016-06-15/a1a920a3-53fd-48c1-b...
- d1.ireader####.com/GoodBooks/Books/cover/2016-06-16/d1d4dcc4-f07a-4ac6-b...
- d1.ireader####.com/GoodBooks/Books/cover/2016-08-26/8ed95684-3895-460c-b...
- d1.ireader####.com/GoodBooks/Books/cover/2016-11-09/8c6d3a00-b598-4e29-b...
- d1.ireader####.com/GoodBooks/Books/cover/2017-01-13/81c071e5-0672-43c3-b...
- d1.ireader####.com/GoodBooks/Books/cover/2017-01-13/a98f4ae0-236b-4246-8...
- d1.ireader####.com/GoodBooks/Books/cover/2017-02-22/94a3b85d-d189-4134-b...
- d1.ireader####.com/GoodBooks/Books/cover/2017-03-01/f3301116-31c3-433e-b...
- d1.ireader####.com/GoodBooks/Books/cover/2017-03-08/e7618156-5c65-4895-a...
- d1.ireader####.com/GoodBooks/Books/cover/2017-03-17/321a9053-d719-43c3-b...
- d1.ireader####.com/GoodBooks/Books/cover/2017-04-20/adcbbf20-afaf-46bc-a...
- d1.ireader####.com/GoodBooks/Books/cover/2017-06-23/c26ad47e-c4fe-49fd-b...
- d1.ireader####.com/GoodBooks/Books/cover/2017-06-26/1d42eaed-fcbb-47ef-b...
- d1.ireader####.com/GoodBooks/Books/cover/2017-08-18/51642350-d17b-4982-9...
- d1.ireader####.com/GoodBooks/Books/cover/2017-08-26/ccce2b40-2d78-49a6-b...
- d1.ireader####.com/GoodBooks/Books/cover/2017-09-11/74419d21-5e8e-463d-9...
- d1.ireader####.com/GoodBooks/Books/cover/2017-10-28/6421b468-8699-49e3-b...
- d1.ireader####.com/GoodBooks/Books/cover/2017-11-07/379be041-8e8b-4ab1-8...
- d1.ireader####.com/GoodBooks/Books/cover/2017-11-28/f3546668-cbde-4138-a...
- d1.ireader####.com/GoodBooks/Books/cover/2017-12-07/3b33cb0d-b178-4e11-b...
- d1.ireader####.com/GoodBooks/Books/cover/2017-12-09/49596ebe-fb7b-4e4b-b...
- d1.ireader####.com/GoodBooks/Books/cover/2018-01-08/da8de92a-e8ad-44b6-b...
- d1.ireader####.com/GoodBooks/Books/cover/2018-03-09/5b6e3b4b-5d06-4406-a...
- d1.ireader####.com/GoodBooks/Books/cover/2018-06-08/3a9e5ab0-c13a-44d3-b...
- d2.ireader####.com/GoodBooks/Books/cover/2015-01-06/5902a6a0-7402-4952-a...
- d2.ireader####.com/GoodBooks/Books/cover/2015-03-23/bd4fee55-f0a2-4558-9...
- d2.ireader####.com/GoodBooks/Books/cover/2015-04-18/f4ab4e56-681b-461f-b...
- d2.ireader####.com/GoodBooks/Books/cover/2015-06-29/e203bc48-6700-44da-8...
- d2.ireader####.com/GoodBooks/Books/cover/2015-07-02/b41420dc-ed33-40c5-9...
- d2.ireader####.com/GoodBooks/Books/cover/2015-07-02/f0e5b894-66b8-419a-8...
- d2.ireader####.com/GoodBooks/Books/cover/2015-07-10/1deaffaf-a07e-47d5-8...
- d2.ireader####.com/GoodBooks/Books/cover/2015-07-10/57d51bb1-d440-41cc-8...
- d2.ireader####.com/GoodBooks/Books/cover/2015-09-06/745b219d-e0fc-473f-9...
- d2.ireader####.com/GoodBooks/Books/cover/2016-01-25/01b2df02-7063-44be-a...
- d2.ireader####.com/GoodBooks/Books/cover/2016-05-10/a3f28ea1-964e-45c2-a...
- d2.ireader####.com/GoodBooks/Books/cover/2016-07-07/cfa087fc-6d20-4539-a...
- d2.ireader####.com/GoodBooks/Books/cover/2016-12-13/dc4a67fe-ab70-4659-8...
- d2.ireader####.com/GoodBooks/Books/cover/2017-01-13/92ad14f7-96e3-4688-a...
- d2.ireader####.com/GoodBooks/Books/cover/2017-02-10/d82fd983-0f03-482b-8...
- d2.ireader####.com/GoodBooks/Books/cover/2017-02-28/17b8ac9a-ea8a-42a4-9...
- d2.ireader####.com/GoodBooks/Books/cover/2017-03-17/97568cc4-c00a-49c5-a...
- d2.ireader####.com/GoodBooks/Books/cover/2017-03-17/9d5ed745-ebe3-434b-b...
- d2.ireader####.com/GoodBooks/Books/cover/2017-07-12/7ad08cba-2feb-4736-8...
- d2.ireader####.com/GoodBooks/Books/cover/2017-07-13/6bf2b0ac-619c-4cc2-9...
- d2.ireader####.com/GoodBooks/Books/cover/2017-08-18/51642350-d17b-4982-9...
- d2.ireader####.com/GoodBooks/Books/cover/2017-08-23/cb9fd3d7-0c4d-4fa7-a...
- d2.ireader####.com/GoodBooks/Books/cover/2017-09-05/8b71c3ad-7a97-498c-a...
- d2.ireader####.com/GoodBooks/Books/cover/2017-09-11/74419d21-5e8e-463d-9...
- d2.ireader####.com/GoodBooks/Books/cover/2017-10-19/914cfb4c-2571-428d-a...
- d2.ireader####.com/GoodBooks/Books/cover/2017-10-28/6421b468-8699-49e3-b...
- t####.qin####.com/sxsplash20160727_579817d469bca.jpg
- t####.qin####.com/sxsplash20160727_579817da499fb.jpg
- t####.qin####.com/sxsplash20160727_579817de0f457.jpg
- t####.qin####.com/sxsplash20160727_579817e1da72a.jpg
- t####.qin####.com/sxsplash20160727_57981808344f4.jpg
Изменения в файловой системе:
Создает следующие файлы:
- /data/data/####/.jg.ic
- /data/data/####/Alvin2.xml
- /data/data/####/ContextData.xml
- /data/data/####/aireader_v2-journal
- /data/data/####/com_ireader_city_you_qi.xml
- /data/data/####/ireader.db-journal
- /data/data/####/knwz.jar
- /data/data/####/libjiagu-54568722.so
- /data/data/####/multidex.version.xml
- /data/data/####/umeng_feedback_conversations.xml
- /data/data/####/umeng_feedback_user_info.xml
- /data/data/####/umeng_general_config.xml
- /data/data/####/umeng_message_state.xml
- /data/data/####/webview.db-journal
- /data/data/####/www.ireadercity.com.443
- /data/data/####/z033a3e2a.xml
- /data/media/####/.did
- /data/media/####/0012bf86fc3048d5bffbd5a1261aab8fjpgx.tmp
- /data/media/####/001dc8fbfae446f495a67825114c1e81jpgx.tmp
- /data/media/####/001f3f1c90764206bd08d39879e12371jpgx.tmp
- /data/media/####/002c6c10ca8742f1b41a7d2cda314f83jpgx.tmp
- /data/media/####/0053878af73941be95a529167bc17201jpgx.tmp
- /data/media/####/006009d120bb420cace032d0669d7521jpgx.tmp
- /data/media/####/0098917f69ab4ccea6ea240a262cf3b7jpgx.tmp
- /data/media/####/010704873ba94c0a812be2663413aea0jpgx.tmp
- /data/media/####/010eb094983440a9bfe3af08f44f9bc7jpgx.tmp
- /data/media/####/01111dd370df4a1bbb882f5dc6e10586jpgx.tmp
- /data/media/####/011be9875a544575aa8398e284a44c72jpgx.tmp
- /data/media/####/01dde4a461f54bb4b541da11a23931e4jpgx.tmp
- /data/media/####/09acb95267e04a1e816515f7bf19c0a8jpgx.tmp
- /data/media/####/0a1763172020462eb5b35c8ab8cdacd9jpgx.tmp
- /data/media/####/0b4f59c73b264ad180e32d138d46cdfbjpgx.tmp
- /data/media/####/0f9e047f8eab4c52940f12d8439e66f3jpgx.tmp
- /data/media/####/15860e1a83014f1782f3d58a941e11f3jpgx.tmp
- /data/media/####/18647d7b157d4d27a1da507ea589ebfajpgx.tmp
- /data/media/####/1adee7ca1005474ab98b1e01c3c66282.dat
- /data/media/####/1dede7f1a51f4782930c2e5b06baccab.dat
- /data/media/####/2171402840a94489931b7b230fa7ba2cjpgx.tmp
- /data/media/####/264d049f092e482f8ab549aa0a4fd63djpgx.tmp
- /data/media/####/28396d5a9cb04bb28cd45c6299cdeb4ajpgx.tmp
- /data/media/####/2c434a39c3a3453ab5e86a8d99ee70e7jpgx.tmp
- /data/media/####/368357f09783426f8a6c126029b6e28ejpgx.tmp
- /data/media/####/38cad977393c446fac942b6baf85d919jpgx.tmp
- /data/media/####/3bf1b4e777cd495ca3e5b22969e9e6b1jpgx.tmp
- /data/media/####/3e19db2dca6440759a36d3d0f5e7c680jpgx.tmp
- /data/media/####/4361463d13cc408caf79c91c7e9e4b86jpgx.tmp
- /data/media/####/4a957e5fd81d4e70802711da65d1d049jpgx.tmp
- /data/media/####/4b49a9268e27449aa7c94cf59574ce55jpgx.tmp
- /data/media/####/4be929a8dbbc4cbcb5f3278dc1a5d90djpgx.tmp
- /data/media/####/56665e7d8ba94d0f83eb2cf54711795bjpgx.tmp
- /data/media/####/5e2434633e67426b938a23652f53c659jpgx_bak
- /data/media/####/679581f4e45c47878e16d05b043f53d3jpgx.tmp
- /data/media/####/703a06375faa449186a9de632baaae99jpgx.tmp
- /data/media/####/744e634b119e4de08f4a9cc2250f110bjpgx.tmp
- /data/media/####/7d352b68110a4ae9be0f1d5c6b44cdc9jpgx.tmp
- /data/media/####/7eab450f3dbf4270a7cc5a221d8a3204jpgx.tmp
- /data/media/####/7f8064ae989b4f05bf28042e81ca7ab9jpgx.tmp
- /data/media/####/85fd43aa868e4b23be224431af7e71ecjpgx.tmp
- /data/media/####/86511a5b117b430db5a476e314916f93jpgx.tmp
- /data/media/####/880c198d4a7149d3993137b7aa4cfe5cjpgx.tmp
- /data/media/####/909064ebec5a4063b287e637d8e15ff8.dat
- /data/media/####/93db500eb5624351bd15bcf51fd40779jpgx.tmp
- /data/media/####/9416abb4da144516855b416553366b6djpgx.tmp
- /data/media/####/953a2914a5014bb2895cd82a37cd824fjpgx.tmp
- /data/media/####/Alvin2.xml
- /data/media/####/ContextData.xml
- /data/media/####/a8045d6e6cac434597ceef8e05cdcb7ajpgx.tmp
- /data/media/####/acomairskynovelaiting.txt
- /data/media/####/adv_self_config.dat
- /data/media/####/b426908ab92c42539db0ea424e24bce8jpgx.tmp
- /data/media/####/b71272ca80934d69891d14b5c7e2300a.dat
- /data/media/####/b9796c9ea2fb4ebead9f23e819a884e9jpgx.tmp
- /data/media/####/c03aca5d18c64e54b3916de58e0a6847jpgx.tmp
- /data/media/####/c1be9ee521604356b286c727ee8735e0jpgx.tmp
- /data/media/####/c50d48d3038a43f9ba3a8a70ca52ca2ajpgx.tmp
- /data/media/####/c51b0aaa34e642feaf82b48974188f4djpgx.tmp
- /data/media/####/c58844f2aab04a3cadcbeda63be9120ejpgx_bak
- /data/media/####/ca84bbe39a4745babc4ed227265450fejpgx.tmp
- /data/media/####/chapter_info_list.online
- /data/media/####/config.data
- /data/media/####/daaf755b0c524e81bb42cc0174dc8c9ejpgx.tmp
- /data/media/####/dbc3c871c4794533a9d56ca29fbb4cb2.dat
- /data/media/####/dbd6f589dc214f799dec314af525bf3d.dat
- /data/media/####/e497404a2d9847caa9f0ae1f694c7f99jpgx.tmp
- /data/media/####/ece22d868a0a474c8f1486f9f4be18b4jpgx.tmp
- /data/media/####/eceb44516cda4ddf9636a60adf7ba1c2jpgx.tmp
- /data/media/####/f6c15d2598824ad398db321208aae1f9jpgx.tmp
- /data/media/####/faf76c77e6f04148ac37eff3a912f54ejpgx.tmp
- /data/media/####/home_infos_1.dat
- /data/media/####/home_infos_2.dat
- /data/media/####/import.dat
- /data/media/####/releated_list_5e2434633e67426b938a23652f53c659.dat
- /data/media/####/releated_list_c58844f2aab04a3cadcbeda63be9120e.dat
- /data/media/####/releated_list_f6c15d2598824ad398db321208aae1f9.dat
- /data/media/####/sxsplash20160727_579817d469bca.jpgx_bak
- /data/media/####/sxsplash20160727_579817da499fb.jpgx_bak
- /data/media/####/sxsplash20160727_579817de0f457.jpgx_bak
- /data/media/####/sxsplash20160727_579817e1da72a.jpgx_bak
- /data/media/####/sxsplash20160727_57981808344f4.jpgx_bak
Другие:
Запускает следующие shell-скрипты:
- chmod 755 <Package Folder>/.jiagu/libjiagu-54568722.so
Загружает динамические библиотеки:
- libjiagu-54568722
- smssdk
Использует следующие алгоритмы для шифрования данных:
- AES-CBC-PKCS5Padding
- DES
Использует специальную библиотеку для скрытия исполняемого байткода.
Осуществляет доступ к информации о сети.
Осуществляет доступ к информации о телефоне (номер, imei и тд.).
Осуществляет доступ к информации о зарегистрированных на устройстве аккаунтах (Google, Facebook и тд.).
Отрисовывает собственные окна поверх других приложений.
